A primeira versão alfa do OpenSSL 4.0 já está disponível para testes públicos, trazendo melhorias e recursos que visam aumentar a segurança e a interoperabilidade de aplicações que dependem desta biblioteca de criptografia.
Principais Promessas de Recursos
- Encrypted Client Hello (ECH) conforme RFC 9849.
- Suporte a RFC 8998 e ao algoritmo de assinatura
sm2sig_sm3. - Grupos de troca de chave SNMP KDF e SRTP KDF.
- Algoritmo de digest
ML-DSA-MUe a função cSHAKE de acordo com a especificação SP 800‑185. - Opções de ligação de tempo de execução VC (estático ou dinâmico) em sistemas Windows.
- Troca de chave FFDHE negociada no TLS 1.2, em conformidade com RFC 7919.
Melhorias de Verificação e Segurança
- Verificação de AKID quando a flag
X509_V_FLAG_X509_STRICTestá habilitada. - Processo de verificação de CRL expandido com verificações adicionais.
- Possibilidade de postergar e executar testes FIPS durante a instalação do módulo FIPS usando a opção
-defer_tests.
Mudanças na Configuração e Compatibilidade
- Remoção dos alvos
darwin-i386{,-cc}edarwin-ppc{,64}{,-cc}das configurações. - Desativação por padrão do suporte a curvas elípticas obsoletas em TLS, conforme RFC 8422.
ASN1_STRINGtornou‑se opaco.OPENSSL_cleanup()agora executa em um destrutor global por padrão.
Alterações na API
- Funções de assinatura recebem qualificadores
constem argumentos e tipos de retorno quando apropriado. - Depreciação de
X509_cmp_time(),X509_cmp_current_time()eX509_cmp_timeframe(), favorecendoX509_check_certificate_times().
Outras Mudanças Notáveis
- Padronização da largura dos dumps hexadecimais: 24 bytes para assinaturas e 16 bytes para demais dados.
- Verificação de limites inferiores para a API
PKCS5_PBKDF2_HMACcom o provedor FIPS. - Remoção de limpeza global de dados alocados via
atexit()emlibcrypto.
Observações Importantes
A versão alfa não é adequada para uso em produção. Usuários que desejarem testar o software podem baixar a distribuição diretamente da página do projeto no GitHub.